E ae pessoal!

Depois de abordar um assunto um tanto técnico demais, que foi a “mão na massa” da configuração de RIPv2 em um roteador CISCO no post “Configuração RIPv2 (CISCO)”, dando uma receitinha de bolo com os comandos para a configuração e focando num ponto importante para ambientes “classless”, agora vou voltar para o ambiente Microsoft com abordagem em Servidor de Arquivos.

Nesta publicação irei tratar de um assunto que confunde um pouco se você não tiver o conhecimento consolidado sobre as permissões definidas no compartilhamento e as definidas no sistemas de arquivos NTFS.

Compartilhamento

De forma simplória, imagine o desenho da figura 1 como sendo uma caixa…

^{Figura 1}

Este será o seu compartilhamento que, se você não tiver permissão de acesso, não conseguirá ver o que há dentro.

Podemos dizer que esta é a sua porta de entrada, então neste momento será preciso dizer qual será o seu limite ao entrar, e é preciso se atentar ao limite máximo de atuação nas pastas dentro do compartilhamento, ou seja, neste ponto você vai definir as permissões com base no máximo que poderá fazer nas pastas e arquivos dentro dele.

Em um domínio com Active Directory configurado, se existir um compartilhamento em que todos os colaboradores precisarão acessá-lo e que todos poderão “escrever” em, pelo menos um arquivo ou diretório, a permissão será de Ler e Modificar, como mostra na figura 2

^{Figura 2}

Como pode ser observado, em vez de Everyone (todos), foi colocado o grupo Authenticated Users (Usuários autenticados). Isso foi feito para ter maior segurança, já que somente os usuários autenticados no domínio que terão acesso ao compartilhamento.

Veja também que não foi dada a permissão de Full Control (controle total) aos usuários. Isto é recomendado para se ter um controle de nível administrativo melhor no ambiente, mas o foco deste post é outro…

A definição do que pode ou não pode fazer nas pastas que estiverem dentro do compartilhamento, eu deixo para definir nas aba de segurança do arquivo ou pasta, ou seja, deixo para definir nas permissões do sistema de arquivos NTFS.

Se houver conflito de configuração de permissão para um usuário, este terá o acesso com a permissão máxima entre os grupos, ou seja, se um usuário de nome X estiver em no grupo de nome A, e tiver a definição de somente leitura no compartilhamento e este mesmo usuário X estiver em outro grupo de nome B cuja permissão é de escrita, prevalecerá a do grupo B.

Sistema de Arquivo NTFS

Voltando a minha “caixa” compartilhamento, vou Incrementar o desenho como pode ser visto na figura 2.

^{Figura 2}

Nas figuras A, B, C e D, eu tenho outras caixas que possuem algumas particularidades:

• A e B são caixas que eu não posso ver o que há dentro,
• C é uma caixa “invisível” para mim – imaginação é tudo! rs…
• D é uma caixa que eu posso abrir, e por sua vez possui mais 3 caixinhas, sendo a caixa 1 e 2 que tenho permissão de manipular, enquanto que a 3 eu nem consigo ver.

Análogo à minha caixa compartilhamento, é o compartilhamento do servidor de arquivos.

Enquanto que, com as definições de que posso entrar no compartilhamento como já foi visto anteriormente, agora parto para as permissões NTFS nos acessos internos, que geralmente são pastas setoriais, públicas e etc. Algumas eu não tenho permissão de escrita (A e B) ou mesmo acesso (C), enquanto a pasta que deve ser do setor do qual pertenço na organização (D), posso acessar subpastas (1 e 2), e não ter acesso a outras subpastas como as de gerente (3), por exemplo.

Conclusão

Espero ter lhe esclarecido melhor com esta analogia e se tiver alguma dúvida, fique à vontade para entrar em contato ou postar comentários.

Uma coisa que não comentei sobre as “caixas invisíveis”, é que isso depende do Sistema Operacional. À partir do Windows Server 2003 R2, foi adicionado uma facilidade chamada access-based enumeration que esconde diretórios que o usuário não tem acesso, evitando a exposição desnecessária, e melhorando a segurança em certo nível – “Ataco o que vejo!”.

Abraços e até o próx. post!